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0 Tragbare Datentrageranordnung. 



® Bei tragbaren Datentrageranordnungen, die zum 
bedarfsweisen Anschluss (z. B. uber Kontakte 9) an 
eine externe Schreib- und Leseeinheit in einem Da- 
tenaustauschsystem bestimmt sind und die ausser 
einer Steuereinheit (2) einen zusatzlichen Datenspei- 
cher (4) enthalten (beides als integrierte Schaltung 
ausgefuhrt), soil eine hone Sicherheit vor Zugriff auf 
gespeicherte Daten und Manipulationen durch Unbe- 
fugte erreicht werden. Zu diesem Zweck wird die 
Ansteuerung des zusat2lichen Datenspeichers (5) 
von der Steuereinheit (2) her geschutzt. Es sind 
verschiedene Moglichkeiten wie Zugriffs-Codierung, 
kryptografische Schaltungsmittel und Verfahren oder 
gehefmer Mikrocode angegeben. Ausfuhrung der 
Datentrageranordnung (1) mit zwei Oder mehreren 
^separaten, durch Leiterbahnen (3) verbundenen inte- 
^grierten Schaltungsbausteinen (multi chip), oder mit 
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alien Funktionseinheiten integriert auf einem gemein- 



QQsamen Trager (single chip). 
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Tragbare Datentrageranordnung 



Die Erfindung betrifft eine tragbare Datentrage- 
ranordnung, enthaltend eine Steuereinheit und ei- 
nen zusaiziichen Datenspeicher. die je als inte- 
grierte Scraitung ausgefiihrt sind, wobei die Steue- 
reinheii rnit Mitteln zur Verbindungsherstellung zu 
einer externen Schreib- und Leseeinheit versehen 
iSt. 

Es sind Datenaustausch- und 
verarbeittingssysteme mit einer Vielzahl solcher 
tragbarer Datentrageranordnungen bekannt, die von 
indivicuei en Benutzern nach Bedarf mit einer 
Schreib- und Leseeinheit in Verbindung gebracht 
werden, um mit dem System zu kommunizieren. 
Datentrageranordnungen der genannten Art. die 
neben ausreichender Speicherkapazitat mit einer 
Steuereinheit ausgestattet sind, ermdglichen nicht 
nur einen interaktiven Daten- und Signalaustausch 
mit dem System, sondern eine dezentralisierte Da- 
tenveraroeitung und -speicherung in den individuel- 
!en. "inte:ligenten" Datentrageranordnungen, wo- 
durch sich ausserst vielfaltige und hochentwickelte 
Anwendungsmoglichkeiten ergeben. Solche Daten- 
trageranordnungen werden typischerweise in Kar- 
tenform fim Kreditkartenformat) mit eingelagerten 
integrierten Schaltungsbausteinen ausgefiihrt 
(sogenannte "Chipkarten"); wenn deshalb nachste- 
hend vorwiegend von Datentrager-"Karten" die 
Rede ist. sollen jedoch andere Ausgestaltungen 
keinesfalls ausgeschlossen werden. 

Bei fast alien Anwendungen solcher Datenaus- 
tauschsysteme ist eine der wichtigsten Vorausset- 
zungen ore Sicherheit vor Manipu lationen und 
missbrauchlichem bzw. unbefugtem Zugriff auf ge- 
speicherte und ubermittelte Informationen, sowohl 
bei den "'festen" Systemkomponenten wie auch bei 
den tragbaren Datentragern. Hohe Sicherheitsanfor- 
derungen bestehen bei den letzteren insbesondere 
wegen ihrer grossen Verbreitung (Moglichkeit des 
Verlierens Oder Entwendens), aber auch - bei 
"eingebauter Intelligenz" - wegen der Vielzahl von 
darin gespeicherten Daten sowie gespeicherten 
elektronischen Verschlusseiungen, wie sie fur den 
geschLitzten Datenverkehr mit Schreib- und Lesee- 
inheiten benotigt werden (Identifikations- und Au- 
thentikationsfunktionen). 

Aufgabe der vorliegenden Erfindung ist deshalb 
die Sicherung tragbarer Datentrager der genannten 
Art gegen Zugriff und Entschlusselung bzw. Inter- 
pretation von darin gespeicherten sicherheitsrele- 
vanten Daten und Informationen durch unbefugte 
Dritte. Diese Aufgabe wird erfindungsgemass da- 
durch geiost, dass in der genannten Datentrage- 
ranordnung die Ansteuerung des zusatzlichen Da- 
tenspeichers von der Steuereinheit her geschutzt 
ist. Das ge-schutzte Ansteuern lasst sich - wie 



weiter unten beschrieben -auf verschiedene Weise 
durch integrierte kryptografische Schaltungsmittel 
Oder Verfahren verwirklichen. Dadurch wird in den 
einzelnen Datentrageranordnungen ein missbrauch- 

5 licher Zugriff wirksam verhindert. 

Bestimmte geeignete Varianten der Erfindung 
sind in den Anspruchen 2 bis 7 angegeben. Beson- 
ders ist darauf hinzuweisen. dass die Erfindung 
unabhangig davon anwendbar ist, ob die integrier- 

w ten Schaltungen einer Datentrageranordnung 
("Karte") in zwei Oder mehrere, durch Leitungen 
verbundene Bausteine aufgeteilt Oder auf einem 
einzigen Trager vereint sind (sogenannte multi 
chip- Oder single chip-Ausfuhrung). Die Erfindung 

.•5 ermoglicht also die Ausdehnung der Speicherkapa- 
zitat auf zusatzliche Chips wie auch die Anwen- 
dung komplexerer Chips unter Wahrung der 
"inneren" Sicherheit der Datentrageranordnung. 
Weitere Merkmale der Erfindung ergeben sich 

20 aus der nachstehenden Beschreibung verschiede- 
ner Ausfuhrungsbeispiele in Verbindung mit der 
Zeichnung. 

Die Figuren 1 bis 4 sind schematische Darstel- 
lungen von Datentragerkarten, insbesondere Pla- 

25 stikkarten mit eingebetteten integrierten Halbleiter- 
schaltungen ("Chips"), wobei die letzteren in Be- 
zug auf das Kartenformat stark vergrossert und 
vereinfacht mit darauf angeordneten Schaltungs- 
bzw. Funktionsbereichen dargestellt sind. Selbst- 

30 verstandlich wird das Layout dieser Schaltungen - 
Ausdehnung und Gestalt der einzelnen Bereiche -je 
nach Anwendung verschieden sein. 

In Fig. 1 ist afs Datentrageranordnung eine 
Plastikkarte 1 dargestellt, in welcher zwei integrier- 

35 te Halbleiter-Schaltungsbausteine ("Chips") 2 und 
4 gebettet sind. Der Baustein 2 enthalt die Steue- 
reinheit der Datentrageranordnung und ist zwecks 
Verbindung zu einer externen, nicht dargestellten 
Schreib- und Leseeinheit eines Datenaustauschsy- 

40 stems an Aussenkontakte 9 der Karte 1 ange- 
schiossen; die Verbindungsherstellung zur externen 
Einheit kann auch auf andere Weise als uber galva- 
nische Kontakte erfolgen, beispielsweise wie an 
sich bekannt mittels induktiver Ankopplung usw. 

45 Die Steuereinheit 2 enthalt vorzugsweise einen Mi- 
kroprozessor mit Rechenwerk und RAM- und ROM- 
Speicherbereichen sowie ferner einen Datenspei- 
cherbereich. Ein zusatzlicher Datenspeicher 5 bef- 
indet sich auf dem zweiten Baustein 4. Die Verbin- 

50 dung zwischen den Bausteinen 2 und 4 ist uber 
eine Anzahl Leiterbahnen 3 hergestellt. Aus herstel- 
lungstechnischen Grunden kann es zweckmassig 
sein, die Bausteine 2 und 4 mit den Leiterbahnen 3 
und gegebenenfalls Aussenkontakten 5 fur den Ein- 
bau in die Plastikkarte 1 zu einem gemeinsamen 
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Modul zusammenzufassen. 

Eine externe Verbindung kann nur von der 
Steuereinheit 2 aus ber die Kontakte 5 hergestellt 
werden, wobei ein Austausch sicherheitsrelevanter 
Daten zwischen Karte und System in an sich be- 
kannter Weise erst nach erfolgreicher Authentika- 
tion und Identifikation zustande kommen kann, an 
wefchen Funktionen die Steuereinheit beteiligt ist. 
Ein Datenaustausch erfolgt jedoch auch 
"kartenintern" zwischen den Bausteinen 2 und 4 
uber die Leiterbahnen 3. Um Manipulationen und 
unbefugten Zugriff zu den Daten im zusatzlichen 
Datenspeicher 5 zu verhindern, ist die Ansteuerung 
dieses Speichers von der Steuereinheit 2 her ge- 
schutzt. Beim Beispiel nach Fig. 1 ist zu diesem 
Zweck dem Datenspeicher 5 ein Zugriffs-Codebe- 
reich 6 zugeordnet, wodurch der Speicher nur uber 
Codesignale C, die von der Steuereinheit 2 erzeugt 
werden, ansteuerbar ist, d.h. ein Datenaustausch D 
zwischen den Bausteinen 2 und 4 ist nur nach 
erfolgter Entschlusselung uber den Codebereich 6 
moglich. Auch ein Datenaustausch innerhalb des 
Bausteins 2 zwischen der Steuereinheit und einem 
dort vorhandenen Datenspeicher erfolgt, wie nicht 
weiter dargestellt, auf ahnlich geschutzte Weise. 
Solche geschutzten Datenaustausch-Vorgange er- 
folgen innerhalb der Datentrageranordnung 1 ge- 
wissenmassen autark ohne Beteiligung externer 
Systemteile (abgesehen naturiich von der Strom- 
versorgung uber Kontakte 9). Der Zugriff insbeson- 
dere zu sicherheitsrelevanten Daten im Datenspei- 
cher 5 ist somit durch eine Sperre geschutzt, wel- 
che nur mittels innerhalb der Karte verwendeten 
Schlusselcodes (key lock) uberwunden werden 
kann. Dabei kann die Sicherheit noch dadurch we- 
sentlich gesteigert werden, dass im Mikroprozessor 
der Steuereinheit 2 immer neue geheime Zugriffs- 
Codes generiert werden, z.B. nach jedem erfolgten 
Zugriff auf den zusatzlichen Datenspeicher. 

Zweckmassigerweise werden die Datenspei- 
cher als elektrisch schreib- und loschbare Speicher 
ausgefuhrt (sogenannte EEPROM-Speicher). Die 
Ausfuhrung des zusatzlichen Datenspeichers 5 als 
serieller Speicher mit Vergleichslogik ermoglicht, 
mit einer geringen Zahl von Verbindungsleitungen 
3 zwischen den Bausteinen 2 und 4 auszukommen. 

Beim Ausftihrungsbeispiel nach Fig. 2 ist der 
generelle Aufbau der Datentragerkarte 1 mit inte- 
grierten Schaltungsbausteinen 2a, 4a, die uber Lei- 
terbahnen 3 verbunden sind, gleich wie bei Fig. 1 . 
Die mit Aussenkontakten 9 verbundene Steuerein- 
heit 2a enthalt wiederum einen Mikroprozessor und 
einen Datenspeicher-Bereich. Der Baustein 4a ent- 
halt dagegen ausser dem zusatzlichen Datenspei- 
cher 5 ebenfalls einen Mikroprozessor 8, wodurch 
sich erweiterte Moglichkeiten hinsichtlich Anwen- 
dung und Sicherheit ergeben. Mit Hilfe des Mikro- 
prozessors 8 ist es moglich, nicht nur wie bei Fig. 



1 die Ansteuerung des Datenspeichers 5 von der 
Steuereinheit 2 her zu schutzen und damit das 
unbefugte Auslesen von Daten aus dem Speicher 5 
zu verhindern, sondern daruber hinaus den gesam- 

5 ten Datenaustausch uber die Leitungen 3 zu si- 
chern, d.h. in codierter oder verschlusselter Form 
durchzufuhren. Die beidseitige Ansteuerung ist je- 
weils nur nach erfolgreicher gegenseitiger krypto- 
grafischer Authentikation moglich, die wiederum 

w nur "kartenintern". d.h. ohne Beteiligung externer 
Systemteile erfolgt. 

Der generelle Aufbau beim Beispiel nach Fig. 3 
mit Steuereinheit 2b und zusatzlichem Datenspei- 
cher 4b in Form von separaten integrierten Schai- 

15 tungen entspricht wiederum den vorangehenden 
Beispielen. Eine geschutzte Ansteuerung des zu- 
satzlichen Datenspeichers 5 wird hier indessen 
nochmals auf eine andere Weise verwirkiicht, nam- 
lich dadurch, dass der Mikrocode der Steuereinheit 

20 2b, durch 10 angedeutet, geheirn ist. Es kann zwar 
in der Steuereinheit 2b ein an sich bekannter Mi- 
kroprozessor verwendet werden, welcher jedoch 
auf einem "unublichen", nur dem Hersteller be- 
kannten und damit geheimen Mikrocode 10 beruht. 

25 Dadurch wird ein unbefugter Zugriff auf im Daten- 
trager gespeicherte Daten bzw. die Entschlussel- 
ung von uber die Leitungen 3 ausgetauschten In- 
formationen verunmoglicht, auch wenn es gelingen 
sollte, die Leiterbahnen 3 freizulegen. 

30 Im Gegensatz zu den vorangehend beschriebe- 

nen Ausfuhrungsbeispielen enthalt die Datentrage- 
ranordnung bzw.. die Piastikkarte 1 nach Fig. 4 
einen einzigen Halbleiterbaustein 12, auf welchem 
die Steuereinheit 2c, der zusatzliche Datenspeicher 

35 5 sowie weitere Schaltungsbereiche insgesamt in 
integrierter Schaltungsbauweise ausgefuhrt sind. 
Aehnlich wie beim Beispiel nach Fig. 3 ist im 
Mikroprozessor der Steuereinheit 2c der Mikrocode 
10a geheim, so dass die Ansteuerung des zusatzli- 

40 chen Datenspeichers 5 wiederum geschutzt ist (ein 
"mechanischer" Zugriff auf Leitungen zwischen Be- 
reichen der integrierten Schaltung auf einem und 
demselben Trager ware naturiich noch erheblich 
schwieriger als auf Leitungen 3, welche innerhalb 

45 der Piastikkarte 1 verlegt sind bzw. innerhalb eines 
Moduls, welcher zwei getrennte Bausteine 2 und 4 
umfasst). 

Mit dem Rechenwerk im Mikroprozessor der 
Steuereinheit 2c steht ferner ein zusatzliches Re- 

50 chenwerk 14 mit Registern 15 in Verbindung, die 
ebenfalls auf dem Trager 12 angeordnet sind. Wie 
angedeutet, sind die Register 15 ebenfalls auf den 
geheimen Mikrocode' 10a der Steuereinheit 2c aus- 
gerichtet, d.h. der Signalaustausch zwischen der 

55 Steuereinheit 2c und dem zusatzlichen Rechen- 
werk 14 erfolgt ebenfalls aufgrund des geheimen 
Codes. Ein solches zusatzliches Rechenwerk 14 
ermoglicht die Durchfuhrung besonders hochent- 
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wickelter kryptografischer Verfahren innerhatb der 
tragbaren Datentrageranordnung, d.h. ohne Bean- 
spruchung externer Rechenkapazitat und dadurch 
bedingtem Datenaustausch mit externen Systemtei- 
len. Dies bedeutet. dass die Anwendung des gehei- s 
men Mikrocodes 10a auf die integrierte Schaltung 
des einzigen Tragers 12 in der Datentrageranord- 
nung beschrankt bleibt, wodurch eine extreme Si- 
cherheit vor Manipulation und unbefugtem Zugriff 
erzielt wird. w 



Anspruche 

1. Tragbare Datentrageranordnung, enthaltend /5 
eine Steuereinheit und einen zusatzlichen Daten- 
speicher, die je als integrierte Schaltung ausgefuhrt 
sind. wobei die Steuereinheit mit Mitteln zur Ver- 
bindungsherstellung zu einer externen Schreib-und 
Leseeinheit versehen ist, dadurch gekennzeichnet, 20 
dass die Ansteuerung des zusatzlichen Datenspei- 
chers (5) von der Steuereinheit (2) her geschutzt 

ist. 

2. Tragbare Datentrageranordnung nach An- 
spruch t . dadurch gekennzeichnet, dass der Daten- 25 
speicher (5) einen Zugriffs-Codebereich (6) enthalt 

und uber von der Steuereinheit (2) erzeugte Code- 
signale (C) ansteuerbar ist. 

- 3. Tragbare Datentrageranordnung nach An- 
spruch 1. dadurch gekennzeichnet, dass dem Da- 30 
tenspeicher (5) ein Prozessor (8) zum gesicherten 
(codierten oder verschlusselten) Datenaustausch 
mit der Steuereinheit (2a) zugeordnet ist. 

4. Tragbare Datentrageranordnung nach An- 
spruch 1 . dadurch gekennzeichnet, dass der Mikro- 35 
code (10) der Steuereinheit (2b) geheim ist. 

5. Tragbare Datentrageranordnung nach An- 
spruch 1 . dadurch gekennzeichnet, dass mit dem 
Rechenwerk der Steuereinheit (2c) ein zusatzliches 
Rechenwerk (14) in Verbindung steht. dessen Regi- 40 
ster (15) auf den Mikrocode (10a) der Steuereinheit 

(2c) ausgerichtet ist bzw. sind. 

6. Tragbare Datentrageranordnung nach einem 
der vorangehenden Anspruche, dadurch gekenn- 
zeichnet. dass Steuereinheit und zusatzlicher Da- 45 
tenspeicher als separate integrierte Schaltungen (2, 

4) ausgefuhrt sind, welche durch Leiterbahnen (3) 
innerhalb der Datentrageranordnung (1) miteinan- 
der verbunden sind. 

7. Tragbare Datentrageranordnung nach einem so 
der Anspruche 1 bis 5, dadurch gekennzeichnet, 
dass Steuereinheit (2), zusatzlicher Datenspeicher 

(5) samt weiteren Bereichen (6, 8. 14, 15) insge- 
samt in integrierter Schaltungsbauweise auf dem- 
selben Trager (12) ausgefuhrt sind. ' 55 
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© Tragbare Datentrageranordnung. 

© Bei tragbaren Datentrageranordnungen. die zum 
bedarfsweisen Anschluss (z. B. uber Kontakte 9) an 
eine externe Schreib- und Leseeinheit in einem Da- 
tenaustauschsystem bestimmt sind und die ausser 
einer Steuereinheit (2) einen zusatzlichen Datenspei- 
cher (4) enthalten (beides als integrierte Schaltung 
ausgefuhrt), soil eine hone Sicherheit vor Zugtiff auf 
gespeicherte Daten und Manipulationen durch Unbe- 
fugte erreicht werden. Zu diesem Zwec'k wird die 
Ansteuerung des zusatzlichen Datenspeichers (5) 



von der Steuereinheit (2) her geschutst. Es sind 
verschiedene Moglichkeiten wie Zugriffs-Codierung, 
kryptografische Schaltungsmittel und Verfahren Oder 
geheimer Mikrocode angegeben. Ausfuhrung" der 
Datentrageranordnung (1) mit zwei Oder mehreren 
separaten, durch Leiterbahnen (3) verbundenen inte- 
grierten Schaltungsbausteinen (muiti chip), Oder mit 
alien Funktionseinheiten integriert auf einem gemein- 
samen Trager (single chip). 
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